検索
連載

クラウド時代のID&アクセス管理サービス「Microsoft Entra ID」とは――何ができる? Active Directoryとは何が違う?今日から始めるMicrosoft Entra ID入門(1)

「Microsoft Entra ID」は、Microsoftのクラウドサービスを利用する際に欠かせないIDおよびアクセス管理サービスです。以前は「Azure Active Directory」(Azure AD)として知られていましたが、機能強化とブランド統一によって名称変更されました。本連載では、単なる「ディレクトリサービス」を超えた、多機能なID管理サービスであるMicrosoft Entra IDについてやさしく解説します。

[森下えみ,株式会社インテルレート] PC用表示 関連情報
Share
Tweet
LINE
Hatena
「今日から始めるMicrosoft Entra ID入門」のインデックス

連載目次

Microsoft Entra IDって何ですか?

 「Microsoft Entra ID」(旧称:Azure Active Directory)は、Microsoftが提供する“クラウドベースのアイデンティティー(ID)およびアクセス管理サービス”です。Microsoft Entra IDを利用することで、ユーザーやデバイス、アプリケーションへのアクセス権限をまとめて管理できるようになります。

 最近では、テレワークとオフィス勤務を組み合わせた“ハイブリッドワーク”が一般的となりつつあり、ユーザーがいつでも、どこにいても、業務に必要なアプリケーションに安全にアクセスできる環境が求められています。

 Microsoft Entra IDはクラウドベースのサービスであることから、いつでも、どこからでもアクセス可能な利便性を提供しながら、セキュリティ機能を活用することで、安全かつ効率的に業務ができる環境を構築できます。

Active Directoryとは何が違うんですか?

 IDやアクセスを管理するサービスといえば、まず思い付くのが「Active Directory」(AD)でしょう。Microsoft Entra IDとActive Directoryは、どちらも“IDやアクセスを管理するためのツール”といえますが、利用される環境や認証と認可に使われるプロトコルなどに違いがあります。

 「Windows Server」に標準搭載されているActive Directoryは、オンプレミス環境でのユーザーやデバイス、アクセス権限の管理に長年利用されてきました。基本的に社内ネットワーク内で利用され、認証と認可には「Kerberos」プロトコルがよく使われます。

 一方、Microsoft Entra IDはクラウド環境でのユーザーやデバイス、アクセス権限を管理するサービスです。インターネットを通じて、いつでも、どこからでもアクセス可能であり、「SAML(Security Assertion Markup Language) 2.0」や「OpenID Connect」(OIDC)など、クラウドサービス向けのプロトコルが使われています。これらのプロトコルは、「Microsoft Azure」や「Microsoft 365」をはじめとしたMicrosoftのクラウドサービスはもちろん、他ベンダーのクラウドサービス(例えば「Google Workspace」や「Box」など)とも連携しやすく、シームレスな認証を提供します。

ALT
図1 Microsoft Entra ID(下)とActive Directory(上)における認証と認可の範囲の違い

Microsoft Entra IDでは何ができるの?

 Microsoft Entra IDには、管理を効率化し、セキュリティ強化に役立つさまざまな機能が備わっています。以下に主な機能を紹介します。

●ユーザーとグループの管理

 Microsoft Entra IDでは、「ユーザー」と「グループ」を作成、変更、削除できます。ユーザーごとにアカウントを作成し、アクセス権限を設定することで、業務に必要なアプリケーションへのアクセスをコントロールできるようになります。また、グループ管理を活用すると、部署やチーム単位で権限を一括管理したり、設定したりすることが容易になります。

●多要素認証(Multi-Factor Authentication:MFA)

 サインイン時に、通常のパスワードに加えて別の要素を用いた本人確認を実施できます。これにより、パスワードが漏えいしたとしても、攻撃者が不正にアカウントにアクセスすることを防げます。Microsoft Entra IDの「多要素認証」(MFA)では、追加要素として「スマートフォンの認証アプリケーション」「SMS(ショートメッセージサービス)」「電話」などが利用できます。

 さらに、特定のユーザーやアプリケーションに対して、MFAを強制するポリシーを作成、適用できます。例えば、社外からのアクセス時にだけMFAを要求したり、危険なサインインと判断されたときにだけMFAを要求したりするなど、状況に合わせた柔軟な設定が可能です。

●シングルサインオン(Single Sign On:SSO)

 「シングルサインオン」(SSO)は、一度サインインするだけで、複数のアプリケーションにアクセスできる仕組みです。通常、異なるアプリケーションにアクセスする際には、それぞれのアプリケーションでの認証が必要です。

 SSOを利用すれば、最初の認証情報だけでさまざまなアプリケーションにアクセス可能となります。これにより、ユーザーは複数のパスワードを覚える必要がなくなるので、パスワードの使い回しによるセキュリティリスクを減らすことができます。

 Microsoft Entra IDでは、Microsoftのクラウドサービスは自動的にSSOでサインインできますが、他ベンダーのクラウドサービスに対してもSSOを設定可能な場合があります。

●条件付きアクセス

 「条件付きアクセス」では、ユーザーが特定の条件の下、どのアプリケーションにアクセスできるかを細かく制御することができます。条件付きアクセスを使うことで、場所、デバイスの状態などの条件に基づいて、アクセスを許可したり、制限したりすることが可能になります。

 例えば、「特定のユーザーは社内のみアクセスを許可する」「特定のアプリケーションには特定のグループしかアクセスできない」「デバイスが最新のセキュリティパッチを適用していない場合や、信頼できるネットワーク以外からのアクセスがあった場合に、アクセスをブロックする」といったようなポリシーを設定できます。

●デバイスの管理

 Microsoft Entra IDでは、デバイスを管理できます。デバイスはWindowsだけでなく、Android、iOS、macOS、Linuxも登録できます。デバイスを登録することで、条件付きアクセスと連携し、デバイスベースのアクセス制御も設定できます。

 以下の画面1は、Microsoft Entra IDのさまざまな機能を管理するためのポータル「Microsoft Entra管理センター」です。直感的に操作できるので、管理者は簡単にユーザー情報の管理やポリシーを作成できます。

 2024年10月16日(日本時間)から、Microsoft Entra管理センターにサインインする際は、多要素認証が義務付けられました。

ALT
画面1 「Microsoft Entra管理センター」画面

Microsoft Entra IDのプランの種類は?

 Microsoft Entra IDは、企業のIDおよびアクセスを管理するための以下の4つのプランを提供しています。各プランは機能やセキュリティレベルが異なり、企業のニーズに応じて選択できます。

  • Microsoft Entra ID Free
  • Microsoft Entra ID P1
  • Microsoft Entra ID P2
  • Microsoft Entra Suite

●Microsoft Entra ID Free

 「Microsoft Entra ID Free」は、基本的なIDおよびアクセス管理機能を提供する無料プランです。このプランは、Microsoft 365やMicrosoft Azureなどの商用オンラインサービスのサブスクリプションに含まれています。主な機能には、MFA、SSO、基本的なセキュリティレポートが含まれます。

●Microsoft Entra ID P1

 「Microsoft Entra ID P1」は、より高度なIDおよびアクセス管理機能を提供する有料プランです。このプランは、「Microsoft 365 E3」や中小企業向けの「Microsoft 365 Business Premium」に含まれています。P1の機能には、条件付きアクセス、動的グループ管理、高度なセキュリティレポートが含まれます。

●Microsoft Entra ID P2

 「Microsoft Entra ID P2」は、最も高度なIDおよびアクセス管理機能を提供する有料プランです。このプランは、「Microsoft 365 E5」に含まれています。P2の機能には、リスクベースの条件付きアクセス、特権ID管理、高度なセキュリティインテリジェンスが含まれます。

●Microsoft Entra Suite

 「Microsoft Entra Suite」は、クラウドおよびオンプレミス環境でのセキュリティを強化し、管理者がどこからでも安全にアプリケーションやリソースにアクセス可能にします。Microsoft Entra Suiteには、「Microsoft Entra Private Access」「Microsoft Entra Internet Access」「Microsoft Entra ID Governance」「Microsoft Entra ID Protection」「Microsoft Entra Verified ID」が含まれます(注:Microsoft Entra ID P1を保有していることが前提条件)。

 今回は手始めに、Microsoft Entra IDとは何か、どのような機能があるのかを紹介しました。次回からは、これらの機能の具体的な利用方法や導入事例を取り上げ、さらに詳しく解説しますので、どうぞお楽しみに。

筆者紹介

森下 えみ(もりした えみ)

株式会社インテルレート 代表取締役。2010年からマイクロソフト認定トレーナーとして活動を開始。企業向けのクラウドサービス活用からセキュリティセミナーまで幅広い講師経験を持つ。Microsoft 365にはサービス提供開始時からセミナー講師として関わるだけでなく、プリセールス活動やMicrosoft 365の構築設計支援にも携わっている。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る